《2019年上半年云上企业安全指南》是阿里云基于对云安全中心监测到的威胁情报进行分析，形成的一份云上企业安全建设指南。通过对云上企业安全建设现状及多维度威胁情报的分析，得出企业安全建设目前存在的突出问题以及面临的主要安全风险，让企业可以清晰地了解到做好云上安全建设的核心发力点；并通过提供针对性的安全建议及行动指南，助力云上企业用最少的时间、精力、成本建设更强壮的安全体系。

因篇幅有限，本文选取报告部分精华内容与大家分享，详细报告请点击下载。

一、核心概要

1. 2019年上半年排名前三的安全威胁是挖矿病毒、感染型病毒和木马程序，由于企业未安装主机安全产品导致被入侵的事件屡有发生。
2. 企业对病毒的认识不足导致安全隐患长期存在。挖矿病毒已经取代勒索病毒成为黑产获利的主要手段，由于挖矿病毒造成的危害并不像勒索软件那么直接，所以企业往往忽视或者不重视对挖矿病毒的防御，实际上，挖矿病毒窃取企业计算资源造成的破坏不可小觑。
3. 漏洞利用和弱口令爆破是黑客攻击成功的主要方式，由此可见，及时修复高危漏洞、设置复杂口令并定期更换对于企业来说至关重要。对于影响范围广泛的漏洞，阿里云会上线默认防御策略，防止云上用户受影响，但是企业及时修复自身系统漏洞才能从根本上杜绝安全隐患。
4. 漏洞攻击中的中间件漏洞入侵已经成为攻击主流，企业缺乏对中间件漏洞的检测和修复能力是导致被攻击的主要原因。
5. AccessKey泄漏成为企业数据安全隐形杀手，由于企业内部缺乏有效的预防手段，导致AccessKey一旦泄露，造成的损失巨大。
6. 云上企业的安全意识亟待提高，很多安全事件的发生并不是新的安全威胁造成的，而是之前的安全漏洞并没有被消除，例如，两年前爆发的WannaCry勒索病毒目前依然是给企业带来危害的最大家族，这说明仍然有很多企业没有修复WannaCry利用的“永恒之蓝”漏洞。

二、企业安全建设现状及威胁分析

1.主机威胁概况

阿里云安全中心发现，挖矿病毒、感染型病毒、木马程序是2019年上半年云上的主要安全威胁，如图3-1-1所示。2018年，挖矿病毒已经成为企业公害，每一波热门0Day的出现都伴随着挖矿病毒的爆发性传播。2019年上半年，挖矿病毒依然以高达38.78%的占比稳居榜首，这与近几年各种虚拟货币颇受追捧不无关系；感染型病毒和木马程序占比基本相同，分别为16.55%􀀀、16.31%。

值得注意是2019年上半年中，勒索病毒在所有威胁中仅占比1.36%，但对企业的危害却很大，因为企业一旦中招勒索病毒，除了缴纳赎金，几乎无法恢复被黑客加密的数据。所以企业应对勒索病毒时刻警惕，以免中招。

1.1.挖矿病毒

图3-1-3展示了挖矿病毒的感染趋势，从中可以看出，从2月份开始感染量一直在持续增加，4月份相对于3月份而言，增加的尤其明显，近一倍的大幅提升。导致挖矿病毒持续上升有两大主要原因：一是越来越多的黑客希望利用挖矿来获利；二是企业对防御挖矿病毒的重视程度不够，导致挖矿病毒的感染愈演愈烈。

挖矿病毒大部分是使用网上开源的门罗币挖矿程序，再配合自动化脚本做持久化。云上用户应对挖矿病毒攻击最有效的方式就是修复漏洞。因为病毒都是通过已知的漏洞进行批量自动化的攻击，因此确保漏洞及时发现和修复，是避免挖矿病毒攻击的有效方式。

1.2感染型病毒

感染型病毒是在网络环境中分布最广的病毒类型，主要原因是被感染的程序会通过主机间的文件传输继续感染其他主机，严重时可导致全网都被感染。从图3-1-4可以看出，感染型病毒的感染量一直处于高位，这反映了很多企业的主机缺乏有效的反病毒能力，无法在第一时间拦截病毒，感染后也无法阻断病毒的扩散。

据阿里云安全中心观察，弱口令爆破和第三方软件传播是感染型病毒主要的入侵传播方式。弱口令爆破是利用企业在主机使用了不够复杂的密码，让攻击者可以使用弱口令库结合脚本的方式实现自动化尝试输入口令登录主机，以实现获取主机密码的方式。第三方软件传播是通过在下载站植入伪装成正常软件的病毒，诱导用户下载并在主机运行后成功实现感染主机的方式。

1.3.网站后门

通过阿里云安全中心长期对攻防数据的观察发现，黑客攻击是导致webshell入侵的主要渠道，占比达31.38%，如图3-1-7所示。黑客通过攻击获得网站的管理工具的密码，然后通过管理工具上传脚本。常见的攻击方式是爆破、弱口令。从这点可以看出，定期更换密码、提高密码复杂度的重要性，否则只会为黑客攻击创造有利条件。

另外一点值得注意的是，企业对网站后门文件的处置率普遍不高，未处理率高达82.83%，如图3-1-8所示。很多企业由于安全意识不足或者欠缺专业安全运营人员，而忽略了云安全中心的webshell告警信息，即使对于已处置的企业来说，也存在部分企业处置不及时的问题。这种不处置或处置不及时的情况，进一步导致了网站被黑客重复入侵、深入入侵等情况。从图3-1-7可以看到，平均每天新增的webshell中，通过老webshell上传新webshell的方式位居第二大入侵方式，占比19.16%。一旦新的Webshell上传有可能会延长下次检出的时间，延误了清理时间可能会导致更多的网站后门被上传。同时，植入的webshell还可能被其他黑客利用，病毒源源不断入侵，造成更大的危害。

1.4蠕虫病毒

蠕虫病毒是一种常见的计算机病毒，通过网络和电子邮件进行复制和传播，传播速度快、影响范围广。蠕虫病毒一般出现在局域网内，主要利用弱口令扫描爆破、SMB协议的漏洞在局域网内进行横向传播，进一步扩大入侵的成果，拿下更多的机器。

在上半年，蠕虫病毒并没有突增的爆发情况，发展趋势比较平缓，如图3-1-9所示。弱口令爆破和共享服务是主要的入侵方式。

今年微软爆出RDP协议的漏洞CVE-2019-0708，阿里云安全中心在第一时间通知用户修复漏洞，但就目前数据来看，还有大量用户并未修复，虽然该漏洞可利用的要求较高，但也不排除黑客或是病毒通过该漏洞进行大规模的感染。就像2017年WannaCry所使用的“永恒之蓝”漏洞，从发现到爆发使用仅仅几个月的时间。

1.5.勒索软件

伴随着数字货币越来越流行，黑客们充分利用数字货币来谋取暴利的产物就是勒索病毒。这几年勒索病毒越来越猖獗，是对企业造成危害最大的一类病毒。不同家族的勒索病毒如雨后春笋般涌现，且各个家族的版本迭代也非常快。著名的勒索病毒GandCrab家族自2018年1月至2019年6月，从1.0版本更新到5.2，获利数十亿美金。

在上半年，勒索病毒在4-5月份的攻击态势呈递增趋势，6月份有所下降，如图3-1-10所示，虽然没有爆出新的勒索家族，但勒索病毒利用的漏洞数量在增加，恶意软件入侵利用的方式越来越多，最新公布的Nday或者0day漏洞能迅速集成到黑客的武器库中，并被黑客加以利用，传播恶意软件，这对企业的资产安全造成极大的威胁。云安全中心建议用户在收到漏洞预警和告警的第一时间修复自身存在的漏洞，避免被黑客入侵，造成损失。

据阿里云观察，弱口令是造成勒索病毒入侵的主要原因，除此之外，未修复的漏洞是第二大原因，且通过漏洞入侵趋势正在增长。攻击者们最喜欢利用的漏洞是Weblogic漏洞，也就是Web应用所使用中间件。因为和系统漏洞相比，这种类型的漏洞除了开发者不容易发现外，修复的成本也远比修复系统漏洞更高，建议用户使用Web应用防火墙避免网络的漏洞攻击利用，同时在服务器安装主机安全产品，从而在恶意程序运行时就及时进行拦截，同时使用防篡改的产品，避免重要文件被篡改。

图3-1-11展示了上半年勒索病毒家族分布情况。非常值得关注的是，WannaCry病毒已爆发两年之久，但目前依然是给企业带来危害最大的家族，这说明依然有很多企业没有修复WannaCry利用的“永恒之蓝”漏洞。不得不说，对于每个企业来说，有时候安全不仅仅是技术问题，而是意识问题。

1.6 AccessKey泄露问题

API凭证，在阿里云被称为AccessKey，简称AK，作为用户访问内部资源最重要的身份凭证，被外部人员恶意获取或被内部员工无心泄露的案例时有发生，其导致的数据泄露非常严重，因此如何做好API凭证管理和监测就显得非常重要。在大多数AK泄露的案例中，都是开发者不小心将自己的AK提交到了任何人都可以访问的公共代码托管平台，导致安全防线毁于一旦。

图3-1-12是上半年企业AK泄漏的数量趋势，虽然泄露数量的绝对值不算大，但是AK作为访问企业内部资源最重要的身份凭证，一旦外泄可能造成的损失将难以想象。

图3-1-13是上半年AK调用异常的告警数量，这表示被泄漏的AK很有可能已经被攻击者成功利用来调用企业的服务，以达到获取企业重要数据的目的。

阿里云率先和最大的开源代码托管服务商Github合作，引入Token扫描机制。整个流程完全自动化，可以实现高效且精准的检测到在Github上泄漏的AK。实际场景中，阿里云能够做到在含有AK的代码提交到Github的数秒之内就通知用户，尽可能减少对用户产生的负面影响。

2.网络威胁

Web应用攻击依然是互联网安全的最大威胁来源之一，从攻击的时间趋势来看，2019年上半年除了2月份春节以外，每个月的攻击次数都成递增趋势，到5月每个月拦截的攻击超过19亿，6月份拦截的攻击突破20亿，如图3-2-1所示。

从图3-2-3看到，2019年的第二季度，连续两个月DDoS攻击流量接近Tb级，6月份稍有下降。

据阿里云安全团队观察，2019年上半年应用层攻击形势依然严峻，伪装成正常应用的恶意APP已让海量移动设备成为新一代肉鸡。目前已有五十余万台移动设备被用来当做黑客的攻击工具，达到PC肉鸡单次攻击源规模。传统的简单粗暴的将攻击IP拉黑防御手段失效，企业需要具备快速的应用层流量分析能力，同时必须准确且自动化的产出多维度的防御策略。

3.主机漏洞

图3-3-1展示的是不同危害等级的漏洞分布情况，其中，中危和高危漏洞共占26%，超过四分之一，这是企业最需要修复的两类漏洞。

但从实际情况来看，企业对漏洞的修复率普遍不高。高危漏洞是对企业造成损失最大的一类漏洞，但是从2019上半年的数据来看，企业对高危漏洞的修复率仅占6.11%，如图3-3-2所示。这表示了企业普遍不理解漏洞存在的严重性及修复的必要性，或者是企业的安全意识不足，并未重视漏洞告警做出及时处理。

4.安全基线

主机基线检查，主要对操作系统、数据库、中间件的身份鉴别、访问控制、服务配置、安全审计、入侵防范等基础安全配置以及登录弱口令进行风险检测。

图3-4-2展示了云上企业基线安全问题分布情况，其中操作系统配置弱点占比82.22%，包括应用层的中间件系统的配置基线占绝大部分，可以被直接利用的公网开放及弱密码基线占比相对低，但以互联网服务器的总数来看，数量级不可小觑。近期全球影响较大的安全事件均与利用基线风险有关，但两者间并不是孰轻孰重的关系，而是相辅相成的关系。

三、安全建议

基于对2019年上半年云上企业安全建设现状及面临的安全风险的分析，我们给出如下安全自检项目，企业可以进行一一比对，从而找出自身的安全体系存在的问题：

1. 确保主机的基线检查已经通过；
2. 确保主机系统的中高危漏洞已经修复；
3. 确保主机应用使用模块组件的漏洞已经修复；
4. 确保主机网络安全组配置正确；
5. 确保其他云产品的配置没有安全隐患，例如数据库的ACL、子母账号的MFA设置等。

同时，我们给出如下行动指南，助力企业做好云上安全建设：

1. 做好主机安全。
   选择有效的主机安全产品，以确保主机具备合格的反病毒和威胁检测能力，从而有效预防病毒和黑客攻击造成的破坏。
2. 缩小攻击面。
   配置云防火墙，统一梳理云环境对互联网的资产暴露情况，一键接入，智能防御。有效缩小网络攻击面，同时把网路边界隔离做好，避免内部攻击的横向感染。
3. 保障网络安全。
   选择有效的Web应用防火墙和抗DDoS产品，可以有效阻挡来自网路的攻击流量或是漏洞攻击，避免攻击造成的业务中断。
4. 做好漏洞管理。
   中间件漏洞已经成为主要的入侵方式，用户需要选择有具备应用漏洞检测的安全产品，从而确保在第一时间发现漏洞并修复。如果无法修复，也要确保网络有Web应用防火墙拦截漏洞利用的攻击，同时在主机上安装有效的安全产品及网页防篡改能力的产品，以保障被入侵后可以有效的阻断攻击链。
5. 做好AccessKey安全。
   预防AccessKey泄漏最好的方式是在企业内部建设良好的代码规范和代码扫描机制，保障代码提交的时候就能够第一时间检测AccessKey是否写到代码中，避免被误传至GitHub。同时企业可以考虑使用阿里云安全中心的AK泄漏检测功能，在AK被上传的第一时间发现，同时通过AK异常调用检测功能实时检测AK是否已经被泄露并利用。

详细完整报告请点击下载